試論ERP系統(tǒng)安全問題及五大對策

2013-11-27 16:05:21 北極星電力信息化網(wǎng)　點擊量：評論 (0)

一、ERP系統(tǒng)中的安全風險由于ERP系統(tǒng)的復雜性，以及企業(yè)在建設維護ERP系統(tǒng)時受到的技術條件、人員素質(zhì)等各種條件的限制，導致ERP系統(tǒng)存在多種安全風險。要加強ERP系統(tǒng)的安全風險防范工作，就需要正確識別ERP系統(tǒng)

工作，除執(zhí)行軟件防火墻的功能外，還有內(nèi)容過濾(CF)、入侵偵測(IDS)、入侵防護(IPS)以及VPN等功能。

應當科學合理地配置防火墻內(nèi)服務器及客戶端的各種安全規(guī)則，加強內(nèi)容過濾和預警等功能，進行訪問控制，對于訪問系統(tǒng)的行為和出入的數(shù)據(jù)信息進行監(jiān)測控制并記錄日志，對于來自內(nèi)部和外部的違反安全策略的異常行為和各種惡意攻擊、破壞行為加以實時、動態(tài)地防范，并提供預警及阻斷攻擊。建立定期安全檢查、風險快速的響應的機制、擴展系統(tǒng)管理員的安全管理能力，使其可以有效地監(jiān)控、審查和評估系統(tǒng)，及時發(fā)現(xiàn)、處理安全風險問題，維護網(wǎng)絡通暢、數(shù)據(jù)信息的安全完整，系統(tǒng)的安全穩(wěn)定。

單機殺毒軟件并不能適應網(wǎng)絡時代病毒的更新、傳播速度和范圍，因此必須使用可以服務于整個局域網(wǎng)的安全防護產(chǎn)品，進行分布式部署、統(tǒng)一監(jiān)控管理，實現(xiàn)“自動分發(fā)、智能升級、集中管控、統(tǒng)一報警”，加強對網(wǎng)絡病毒、木馬以及黑客軟件攻擊的防范。

同時，應不斷地采用最新的信息網(wǎng)絡安全技術，及時升級安全產(chǎn)品;制定安全操作規(guī)范，加強用戶管理和操作管理，加強外來移動存儲設備的管理;定期檢查ERP系統(tǒng)軟硬件設備的安全狀況。

4.制定完善的數(shù)據(jù)備份策略。

ERP系統(tǒng)的信息是通過計算機及網(wǎng)絡儲存到數(shù)據(jù)庫中，但由于存在硬軟件故障導致數(shù)據(jù)被破壞丟失、數(shù)據(jù)庫不能使用的安全風險，所以為了防止數(shù)據(jù)的丟失、保障系統(tǒng)及數(shù)據(jù)的安全對于數(shù)據(jù)庫的備份與恢復、應對事故的應急預案措施就顯得十分必要。

數(shù)據(jù)庫備份的技術多種多樣，在實施時，應考慮到企業(yè)對數(shù)據(jù)安全的要求和數(shù)據(jù)備份的規(guī)模，由此制定適合企業(yè)自身特點及要求的安全備份策略，對備份的數(shù)據(jù)應定期進行可用性和可恢復性校驗，切實做好數(shù)據(jù)的備份工作，確保ERP系統(tǒng)數(shù)據(jù)的穩(wěn)妥和安全。

首先，按數(shù)據(jù)備份的要求確定軟硬件技術配置，如，獨立磁盤冗余陣列(RAID)、熱插拔技術、一主機一備份機、在線熱備份系統(tǒng)等，數(shù)據(jù)備份的體系架構(gòu)應具有實用性、擴展性、安全性的特點，不僅應具備良好的備份、恢復性能(特別是故障恢復性能)，同時也應具備良好的系統(tǒng)擴展性與技術前瞻性。

其次，數(shù)據(jù)備份一般有定時備份和實時備份之分，月備份、周備份和日備份之分，自動備份和手動備份之分，以及數(shù)據(jù)全量備份和增量備份之分，企業(yè)應按照自身特點及安全要求制定備份計劃，確定備份數(shù)據(jù)保留的天數(shù)。

第三，注意存儲的環(huán)境安全建設，離線的備份數(shù)據(jù)應存儲在特制的金屬柜內(nèi)，要做到防火、防盜、防濕、防塵、防靜電、防雷擊等。在條件允許的情況下，還可以設置機房環(huán)境監(jiān)控系統(tǒng)和異地容災備份系統(tǒng)。

企業(yè)應建立安全事故應急處理預案，使得企業(yè)對于可能發(fā)生的系統(tǒng)事故及故障能夠及時做出反應，保證在系統(tǒng)及數(shù)據(jù)被破壞后，能立即啟用備用系統(tǒng)、恢復備份的數(shù)據(jù)，及時診斷、搶修發(fā)生故障的軟硬件以及網(wǎng)絡環(huán)境，使系統(tǒng)服務不致于中斷，將安全事故的損害降到最低程度。應急預案也應包括事故處理過程的相關信息收集，事后可以合理量化評估事故的種類、數(shù)量和成本，以利在今后工作中加以監(jiān)督和防范。

5.加強ERP系統(tǒng)安全的管理措施。

安全管理措施是維護系統(tǒng)安全穩(wěn)定運行的最為關鍵的部分，企業(yè)除了需要在信息安全技術上加強投入外，還需要加強并規(guī)范人員行為的安全管理措施。

首先，完善信息安全管理的各種規(guī)章制度的建設，制定安全目標和安全策略，在此基礎上制定設備物理環(huán)境、系統(tǒng)運行維護、訪問權限控制、業(yè)務保障、安全監(jiān)測審計、安全設備管理、人員安全操作規(guī)程等的安全制度建設，在工作中嚴格遵照執(zhí)行，并且對此進行定期培訓和考核、檢查。

其次，建立信息安全管理組織機構(gòu)，明確各部門、各環(huán)節(jié)的安全職責、組織形式和處理流程，具體落實到相關責任人，分工合作、各負其責，加強操作用戶登記、明確權限，重大事件的操作須授權核準，啟用日志管理，避免越權和非授權操作，也應定期進行考核、檢查。

第三，定期進行分級分層的全員信息安全風險教育和操作維護培訓，學習安全操作流程和行為規(guī)范，了解和掌握相關的信息安全知識和策略，以及應承擔的安全職責，提高操作人員的安全風險防范意識和能力。

企業(yè)網(wǎng)絡安全是由多方面來保證的，并且由于各種安全技術措施存在著不足與局限性，